Bonjour,

je suis le cours sur la sécurisation des données, cryptographie.

À la partie certificat numérique, on peut lire:

La signature du certificat utilise elle-même un protocole de signature à clé publique, avec la clé publique d'un tiers de confiance. Lorsqu'un certificat est signé avec sa propre clé publique, on dit que c'est un certificat autosigné.

"Lorsqu'un certificat est signé avec sa propre clé publique…"

Je ne comprends pas bien pourquoi on signe à l'aide d'une clé publique. Est-ce que quelqu'un a une explication ?

Merci.

Salut,

Ceci devrait répondre à ta question

"

Signature

La signature permet de s’assurer de l’identité de l’expéditeur d’un message. Les méthodes de signature, exploitent en réalité un protocole inverse de celui du chiffrement.

L’expéditeur va coder un message donné avec sa clé privée. Lui seul en est capable. En revanche, n’importe qui peut vérifier que le message a été codé par l’expéditeur, en le décodant avec la clé publique et en vérifiant qu’il correspond bien au message d’origine.

[...]

La certification X.509

Le principe de la certification par une autorité repose sur la confiance accordée par les organismes centraux. L’entité souhaitant obtenir une certification s’adresse à une autorité,en lui fournissant sa clé publique. L’autorité, après avoir vérifié l’identité du demandeur, va fournir un certificat, auquel il adjoint sa propre signature : celle-ci permet alors de s’assurer que le certificat a bien été émis par une autorité compétente.

L’organisme de certification fait alors office de tiers de confiance. Le protocole retenu pour la certification sous SSL et TLS est X.509 v3."

Article très intéressant (et très complet) sur le protocol SSL/TLS que je t'invite à lire. : https://www.frameip.com/ssl-tls/

De base, un certificat est approuvé et signé par une autorité de certification (CA). Le CA étant préalablement reconnu et enregistré dans ton ordinateur/navigateur. Hors, ca nécessite une certaine mise en place et possède un coût. Pour faire des tests, on peut nous même signer un certificat qui ne sera reconnu par personne. C'est un certificat auto-signé.

-
Edité par o101010 4 octobre 2021 à 1:50:50

Bonjour et merci pour le lien frameip.com , je vais le lire avec attention.

Cela étant dit, je t'invite à relire mon premier message.

DenebeDenebe a écrit:

Je ne comprends pas bien pourquoi on signe à l'aide d'une clé publique. Est-ce que quelqu'un a une explication ?

o101010 a écrit:

Salut,

Ceci devrait répondre à ta question

"

Signature

La signature permet de s’assurer de l’identité de l’expéditeur d’un message. Les méthodes de signature, exploitent en réalité un protocole inverse de celui du chiffrement.

L’expéditeur va coder un message donné avec sa clé privée. Lui seul en est capable. En revanche, n’importe qui peut vérifier que le message a été codé par l’expéditeur, en le décodant avec la clé publique et en vérifiant qu’il correspond bien au message d’origine.

Allez je me lance, je pense que c'est une erreur du cours, qu'en penses-tu ?

J'ai posé ici aussi la même question, et on est d'avis que c'est une erreur.

La clef privée doit impérativement resté privée, contrairement à la publique.

Le certificat est la carte d'identié fournie par le site pour prouvé qui il est. L'utilisateur à donc accès au certificat*. Il s'agit donc bien de la clef publique qui y est intégré. L'utilisateur utilise cette clef pour chiffré un message. Le serveur pourra alors déchiffrer le-dit message à l'aide de sa clef privée et prouvé son identité en retournant le message déchiffré à l’utilisateur.

* Tu peux consulté les certificats à l'aide de ton navigateur:

Chrome base

• a gauche de l'url, tu cliques sur le cadenas

• Certificats -> Détails

• Clé publique

Firefox

• a gauche de l'url, tu cliques sur le cadenas

• Connexion sécurisée -> Plus d'information

• Sécurité -> Afficher le certificat

• Informations sur la clé publique

-
Edité par o101010 5 octobre 2021 à 2:59:05

010101, on est d'accord, mais ce n'est pas le sujet…

Le sujet, c'est ce qui est écrit dans le cours: "Lorsqu'un certificat est signé avec sa propre clé publique, on dit que c'est un certificat autosigné."

Et je maintiens que c'est une erreur, c'est faux. On signe (une document, des données) avec une clé privée, pas avec une publique.

On vérifie la signature avec la clé publique.

Denebe a raison, j'avais commencé à répondre il y a 15 jours. Puis, dans ma réponse, il y avait un truc qui collait pas.

Si on signe avec la clé publique, sachant qu'elle est disponible, un tiers peut se l'approprier. Donc, on signe avec sa clé privée. Ainsi, le destinataire vérifie avec la clé publique de l'émetteur.